1. XSS의 공격 유형
클라이언트 스크립트를 이용하여 사용자에게 특정 행위를 하게 만들어 악의적인 목적으로 이용하는 것
악성코드 배포
- 게시판에 악의적인 행위를 하는 스크립트를 삽입
- 사용자들이 해당 게시물에 접든 했을 때 악성코드 배포 사이트로 유도
- 사용자는 자신도 모르게 악성코드(랜섬웨어, 개인정보 유출 등)에 감염
다른 사용자의 권한 획득
- 게시판에 악의적인 행위를 하는 스크립트를 삽입
- 사용자들이 해당 게시물에 접든 했을 때 자신의 쿠키 정보를 공격자 서버에 전달 및 저장
- 공격자는 획득한 쿠키 정보를 이용하여 다른 사용자의 권한 획득
피싱 사이트 유도
- 게시판에 악의적인 행위를 하는 스크립트를 삽입
- 사용자들이 해당 게시물에 접든 했을 때 자신도 모르게 조작된 사이트로 유도
- 공격자가 조작한 입력 부분에 사용자는 계정 정보 입력 및 공격자에게 전달
2. XSS 취약점 공격 기법
입력값 검증의 미흡에서 부터 발행
Stored XSS 취약점 공격
게시물의 입력 부분, 쪽지 보내기 입력 부분, 주문 페이지 입력 부분 등 악의적인 스크립트가 데이터베이스에 저장되어 실행되는 공격
Reflected XSS 취약점 공격
데이터베이스에 저장이 되지 않으며, 파라미터 값의 입력 값 미흡을 이용하여 상대방에게 링크를 쪽지 보내거나,
게시물에 링크를 클릭하게 유도하여 악성코드를 배포하는 공격
'Security Project' 카테고리의 다른 글
| 38. ReflectedXSS 취약점 실습 + BeEF 실습 (1) | 2023.01.05 |
|---|---|
| 37. StoredXSS 취약점 실습 (2) | 2023.01.04 |
| 35. 오예스몰 - 파일 다운로드 취약점 (0) | 2023.01.01 |
| 34. 카멜 - 회원가입 Javascript 우회 (0) | 2023.01.01 |
| 33. 다른 사용자 게시물 수정 삭제 (0) | 2023.01.01 |
댓글